Оценка использования уязвимых открытых компонентов в коммерческом ПО

Компания Osterman Research опубликовала результаты проверки использования открытых компонентов с неисправленными уявзимостями в проприетарном программном обеспечении, выполненном на заказ (COTS). В исследовании были изучены пять категорий приложений – web-браузеры, почтовые клиенты, программы для обмена файлами, мессенджеры и платформы для проведения online-встреч.

Результаты оказались плачевны – во всех изученных приложениях было выявлено использование открытого кода с неисправленными уязвимостями, а в 85% приложений уязвимости носили критический характер. Больше всего проблем было найдено в приложениях для проведения online-встреч и email-клиентах.

Что касается открытого кода, то в 30% из всех обнаруженных открытых компонентов была выявлена как минимум одна известная, но неисправленная уязвимость. Больше всего выявленных проблем (75.8%) было связано с использованием устаревших версий движка Firefox. На втором месте – openssl (9.6%), а на третьем – libav (8.3%).


В отчёте не детализируется число изученных приложений и какие именно продукты были исследованы. Тем не менее, в тексте есть упоминание, что критические проблемы были выявлены во всех приложениях кроме трёх, т.е выводы сделаны на основе анализа 20 приложений, что нельзя считать репрезентативной выборкой. Напомним, что в проведённом в июне похожем исследовании, был сделан вывод, что 79% встроенных в код сторонних библиотек никогда не обновляются и устаревший код библиотек становится причиной проблем с безопасностью.

Release. Ссылка here.